Вопросы ИБ в текущем моменте. Неформальная встреча Global CIO. Ч.1
31 марта 2022 г. состоялась неформальная встреча профессионального ИТ-сообщества Global CIO, в рамках которой выступили приглашенные эксперты:
Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем, блок вице-президента по IT компании ЕВРАЗа и Рустэм Хайретдинов, директор по росту бизнеса компании BI.ZONE.
Начали с вопроса, как эксперты видят сложившуюся на текущий момент ситуацию, с которой столкнулись компании в нашей стране – усиление DDoS-атак.
Андрей Нуйкин: «Да, это действительно всё так, и, начиная с 24-го числа, все крупные российские компании подвергаются атакам. Вот на примере своей компании могу сказать, что 25-го числа начался DDoS на наш сайт, с которым мы успешно справились. Сейчас мы наблюдаем просто кратное увеличение фишинговых рассылок. Причём, если раньше это были веерные рассылки, которые были нацелены в принципе на любого, кто на них «клюнет», то сейчас очень много рассылок адресных, таргетированных, которые нацелены на ЕВРАЗ. Вот с этим приходится бороться».
Рустэм Хайретдинов: «Я вижу ситуацию в качестве некоторого идеального шторма, в котором сложились несколько направлений.
Во-первых, действительно усилились атаки, во-вторых, атаки поменяли мотивацию – если раньше хотели красть деньги, то сейчас, если у тебя русский домен, если ты русская компания, ты уже получишь атаку. Поменялся мотив, поменялась интенсивность. Мы видим, что подключились даже те, кто вообще никогда раньше не занимался DDoS-атаками.
Как Андрей правильно сказал, при этом нас бросили защитники, отключили от обновлений, а это значит, что никакие новые атаки не будут отбиваться уже этим решением, потому что не обновляющиеся средства безопасности через месяц – это уже чисто номинальные устройства.
С третьей стороны, никто не рассчитывал ресурсы на такой тип атак. И даже те компании, которые остались в России, сейчас страдают от недостатка ресурсов. И внутренние ресурсы компаний, которые занимаются защитой, и подрядчики, которые занимаются ИБ, все работают с максимальной загрузкой, мы это называем «high season». Например, у нас уже месяц нет выходных, все технари работают круглосуточно.
И четвёртая составляющая этого идеального шторма – потеря доверия в киберпространстве как вообще какой-то сущности. Потому что раньше считалось, что если обновление прилетает подписанное от вендора, значит, его можно спокойно ставить. Сегодня в ней может оказаться какой-нибудь элемент включения в бот-сеть для DDoS-атак.
То есть у нас усилились атаки, у нас отвалились защитники, у нас не были запланированы ресурсы, у нас исчезло доверие. Вот это сложение четырёх элементов – идеальный шторм. Сейчас мы находимся в этом состоянии, и пытаемся как-то из него выбраться в новую реальность, где уже мы будем понимать, зачем это надо».
Расскажите, если можно, кто из вендоров ушёл, и есть ли какие-то наши альтернативы, ведь по информационной безопасности как раз очень большая работа велась.
Андрей Нуйкин: «Многие не говорят, что они именно ушли, – приостановили, наверное, оставляя себе лазейку, чтобы вернуться. Но даже если они вернутся, понятно, что отношение уже к ним будет совсем другое. Мы смотрели на различные альтернативы, и здесь была проблема зачастую с нашими вендорами, они не всегда готовы были нормально конкурировать с иностранными решениями, но тем не менее.
Сейчас часть собственников продуктов именно заявили, что они ушли. Например, сканер Нексус, а есть, например, компания IBM, которая просто всё поставила на паузу, она не сказала, что совсем ушла, и заявления были, что они прекратили работать только с военными и санкционными компаниями. С остальными они работают, при этом мы не можем зайти на портал IBM и что-то там посмотреть, скачать. СЕД заявил, что они больше ничего не продают, но поддерживают старое: старое пока работает, будет ли работать дальше – пока не понятно.
Мы смотрим российские альтернативы, в первую очередь это, конечно, защиты периметра, это всем известные Юзергейт, Континент, Элтекс, Инфотекс – их много. Здесь надо смотреть, кто и что предлагает, с какими возможностями, за какие деньги. В принципе, я могу сказать, что мы в нашей компании подготовили некий план тактический и стратегический по замещению тех продуктов, которые себя уже скомпрометировали, так или иначе. Те же самые Cisco, Palo Alto, Nexus, и все остальные – Hewlett-Packard, SAP. Соответственно, мы смотрим, какие есть альтернативы.
Мы их ищем, проверяем, тестируем, ну и дальше, соответственно, смотрим, будет это всё мигрировать в ту или иную сторону».
Рустэм Хайретдинов: «Я хотел бы подискутировать с коллегой. Значит, действительно, в безопасности, в отличие от всего остального рынка, прежде всего, интересует доверие к вендору. Например, Макдональдс – это «цена-качество», если он ушёл или пришёл, то никаких проблем там с этим нет. Там нет такого вопроса, как доверие. Сейчас, если ты не можешь доверять вендору, то даже если он вернётся, это всегда будет уже осадок, и ты будешь подсознательно ждать измену. Соответственно, действительно, сейчас все делают планы по импортозамещению. Вопрос, на что менять. Проблема российских вендоров, на самом деле, лежит не в технологиях, а в некотором уровне зрелости продуктов, например, на уровне энтерпрайз выбирать практически не из чего. Но в оправдание могу сказать, что, на самом деле, у русских вендоров безопасности и не было проектов такого уровня энтерпрайз. Их всегда ставили в основном для аттестации каких-то систем, локально, и я уверен, что это не самая сложная часть разработки, просто не было такого заказчика, я думаю, что они подтянутся. Но какое-то время будет неловко. То есть придётся идти на понижение уровня сервиса сознательно для того, чтобы потом он опять поднялся до привычного нам уровня».
Является ли использование опенсорса действенным решением?
Рустэм Хайретдинов: «Опенсорс – это круто, но опенсорс очень завязан на людей. Вы с помощью опенсорса и классных специалистов можете сделать любое решение. Но цена этому решению – цена удержания этих специалистов. Если уйдут эти специалисты, то новые, пришедшие на их место, с этим разобраться не смогут. Опенсорс – это всегда вопрос команды и инструмента. Опенсорс – это люди».
Андрей Нуйкин: «Это действительно так, когда говорят: мы возьмём сейчас опенсорс, зачем нам покупать условный CM, ещё что-то, мы возьмём Elasticsearch, поставим, настроим, всё сделаем, и будет счастье, и бесплатно. Я говорю: да, формально, вы весь софт получили бесплатно, но сколько вы потратите времени, высококлассных специалистов на то, чтобы довести его до ума, и это не совсем бесплатно. Дальше, опять же, поддержка, обновления. Поэтому, опенсорс – это хорошо, но, как сказал Рустэм, только когда у вас есть своя мощная команда, которая не разбежится, то есть вы знаете, что вы их удержите».
Несколько слов про команду. Насколько вы сейчас видите со своей стороны перегруз ИТ-команды, в том числе специалистов по информационной безопасности, и как вы с этим справляетесь, как поддерживаете людей?
Андрей Нуйкин: «У нас нагрузка на ИБ-команду выросла, потому что вопросы информационной безопасности развиваются по синусоиде. То есть, когда происходит какой-то инцидент, все IT работают на безопасность. Мы полтора года выстраивали системы. Потом, когда всё это более-менее отстроили, отладили, интерес начинает немножко спадать.
Сейчас опять мы на взлёте, востребованы, нас опять везде приглашают на все встречи, совещания, все с нами советуются, все с нами что-то согласовывают. Нагрузка выросла, особенно на центры мониторинга, центры реагирования. То есть появилась острая необходимость в техподдержке, поддержке серверов и так далее, потому что, как я уже сказал, количество атак выросло просто кратно. По поводу проблемы с кадрами: я не скажу, что был какой-то массовый исход, текучка есть, но она, насколько я знаю, в пределах стандартных. В целом, по IT ровно такая же ситуация, поэтому мы уже 2 года назад открыли центр разработки в Новосибирске, поближе к институтам, университетам – в Новосибирске в этом плане очень неплохая ситуация, он научный город, – и там мы набрали достаточно много специалистов, которые работают как в Новосибирском центре, так и удалённо, соответственно, и в московском, и в уральском регионе».
В следующей части продолжим обсуждать работу компаний в условиях перегрузки, какие шаги следует сделать в первую очередь, чтобы обеспечить информационную безопасность, проблемы «железа» и др.
Продолжение следует…